I ricercatori hanno avvertito che migliaia di server VMWare vCenter con connessione a Internet presentano ancora vulnerabilità critiche settimane dopo il rilascio delle patch.
Le vulnerabilità hanno un impatto su VMWare vCenter Server, un'utilità di gestione centralizzata.
VMWare ha rilasciato patch per due bug critici, CVE-2021-21985 e CVE-2021-21986, il 25 maggio.
Il primo difetto di sicurezza, CVE-2021-21985, ha un impatto su VMware vCenter Server e VMware Cloud Foundation ed è stato emesso un punteggio CVSS di 9,8. Questo bug è stato riscontrato in un plug-in vSAN, abilitato per impostazione predefinita nell'applicazione, che consente agli aggressori di eseguire l'esecuzione di codice remoto (RCE) se hanno accesso alla porta 443.
VMWare ha affermato in un avviso di sicurezza che questo bug grave può essere sfruttato in modo che gli attori delle minacce possano accedere “al sistema operativo sottostante che ospita vCenter Server” con “privilegi illimitati”.
Il bug interessa vCenter Server 6.5, 6.7 e v.7.0, insieme a Cloud Foundation vCenter Server 3.xe 4.x.
La seconda vulnerabilità, CVE-2021-21986, è presente in vSphere Client (HTML5) e nel meccanismo di autenticazione vSphere per una varietà di plug-in: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability.
Considerato meno critico con un punteggio CVSS di 6.5, questo difetto consente comunque agli aggressori con accesso alla porta 443 di “eseguire azioni consentite dai plug-in interessati senza autenticazione”.
Sembra che migliaia di server con connessione a Internet siano ancora esposti e vulnerabili sia a CVE-2021-21985 che a CVE-2021-21986.
Martedì, i ricercatori di Trustwave SpiderLabs hanno affermato che un'analisi dei server VMWare vCenter ha rivelato 5.271 istanze di server VMWare vCenter disponibili online, la maggior parte delle quali esegue le versioni 6.7, 6.5 e 7.0, con porta 443 il più comunemente impiegato.
Dopo aver utilizzato il motore di ricerca Shodan per ulteriori esami, il team è stato in grado di estrarre dati da 4969 istanze e ha scoperto che un totale di 4019 istanze, ovvero l'80,88%, rimane senza patch.
È probabile che il restante 19,12% sia vulnerabile, poiché si tratta di vecchie versioni del software, comprese le versioni 2.5x e 4.0x, che sono alla fine del ciclo di vita e non sono supportate.
Al momento in cui il fornitore ha rilasciato le correzioni di sicurezza, VMWare ha affermato che le vulnerabilità richiedevano “l'attenzione immediata” degli utenti. Come segnalato in precedenza da ZDNet, le patch potrebbero danneggiare alcuni plug-in di terze parti e, se non è possibile applicare le correzioni, ai proprietari del server viene chiesto di disabilitare i plug-in VMware per mitigare la minaccia di exploit.
Si consiglia di affrontare o mitigare questi tipi di bug critici il più rapidamente possibile.
Il codice Proof-of-Concept (PoC) è stato rilasciato per CVE-2021-21985. Il problema è così grave che la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha avvisato i fornitori di aggiornare le proprie build.
Copertura precedente e correlata
Patch immediato: VMware avverte di un buco critico nell'esecuzione di codice remoto in vCenter
VMware lancia la suite di strumenti “Anywhere Workspace”
VMware combina servizi per il nuovo Modern Piattaforma di connettività delle app
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499, o tramite Keybase: charlie0
Argomenti correlati:
VMWare Security TV Data Management CXO Data Center 